В чат принесли прекрасное: незашифрованный файл со 184 миллионами самых разнообразных паролей лежал открыто в интернете, пока его не обнаружил сознательный гражданин.
Я маленько погуглил статьи об этом инциденте, и это очень забавно. Все рассуждают о том, откуда этот списочек взялся (никаких указаний на владельца там нет), выдвигают разные версии — и все очень аккуратно избегают самого простого и очевидного объяснения: судя по всему, это был экспорт из облачного парольного менеджера, типа 1Password или подобного.
В пользу этого объяснения говорит чрезвычайное разнообразие паролей: Facebook, Google, Instagram, Roblox, Discord, Microsoft, Netflix, PayPal, Amazon, Apple, Nintendo, Snapchat, Spotify, Twitter, WordPress, Yahoo, и чёрт знает что ещё, включая разнообразные банки и электронные кошельки. Разумеется, основная база данных у любого такого облачного сервиса зашифрована, но при наличии минимального read-only доступа и умения написать SQL скрипт на пару строк — эту базу можно без проблем экспортировать в обычный текстовый файл.
Именно это какой-нибудь юный стажёр и сделал — в погоне за барышами или просто со скуки, поди знай. При этом во всех таких фирмах есть свои протоколы безопасности, в теории предотвращающие неконтролируемый доступ несознательных стажёров к ценным данным. Но на практике ни одна — я подчёркиваю: ни одна — организация не следует этим протоколам со всей строгостью.
Вернее, поначалу им честно пробуют следовать — но ровно до того момента, когда случается авария и выясняется, что из трёх человек, имеющих доступ к базе, один ловит рыбу без мобильной связи, другой делает презентацию на другой стороне планеты, а третий потерял свой пароль. После чего приходит пора «не самых элегантных, но надёжных решений», типа HashiCorp Vault, доступ к которому есть у половины программистской команды. Ну и в какой-то момент это заканчивается вот таким прекрасным файлом, см. выше.
Эту версию все, пишущие об инциденте, предпочитают не замечать, а в приведённой выше статье облачные парольные менеджеры и вовсе рекламируются как решение проблемы защиты паролей. Экспертам по безопасности тоже хочется кушать, а безопасность юзернейма — в конечном итоге, дело рук самого юзернейма.